Migration in die Cloud: Interview mit Erich Vogel, Computacenter

Cloud-Services sauber aufsetzen

Interview mit Erich Vogel, Solution Manager Consulting Services bei Computacenter, über die Herausforderungen von IT-Audits beim Cloud Computing

Erich Vogel, Solution Manager Consulting Services bei Computacenter

ITM: Herr Vogel, anhand welcher Zertifizierungen oder Gütesiegel können mittelständische Verantwortliche die Qualität und Sicherheit von Cloud-Services bewerten?
Erich Vogel:
Derzeit gibt es keine speziellen Gütesiegel oder ähnliches für Cloud-Services. Denn Zertifikate sind immer landesspezifisch, Cloud Computing hingegen überschreitet Ländergrenzen. Unternehmen in Deutschland müssen daher auf die gängigen ISO- oder TÜV-Zertifizierungen zurückgreifen, speziell auf solche, die im Kontext von Outsourcing gelten.

ITM: Wie sollten Mittelständler am besten vorgehen, wenn sie bestehende Systeme in die Wolke eines Cloud-Service-Providers hieven möchten?
Vogel:
Cloud Computing stellt ein Paradigmenwechsel dar: IT wird nicht länger als Infrastrukturdienst gesehen, sondern als Service. Bestehende Systeme können nicht 1:1 in die Wolke geschoben werden, vielmehr müssen Unternehmen den Weg in die Cloud strategisch und gezielt angehen. Im Vorfeld steht die Überlegung, welche Dienste künftig überhaupt als Cloud-Service bereitgestellt werden können und sollen. Dafür bedarf es eines Kriterienkatalogs, der Faktoren wie Sicherheit, Kosten und Flexibilität als Entscheidungsgrundlag heranzieht. Nur so können Nutzen und Risiken abgewägt und bewertet werden.

ITM: Worauf sollte bei einer solchen Migration in die Cloud vor allem geachtet werden? Welche Hürden müssen gemeistert werden?
Vogel:
Bei der Migration auf Cloud-Services stehen ganz klar Themen wie Datensicherheit, Backup und die Verfügbarkeit des Dienstes im Vordergrund. Aus organisatorischer Sicht muss darauf geachtet werden, dass sich die Services in die bestehenden Prozesse integrieren lassen und auch ein passendes Servicemodell wie etwa ein Helpdesk etabliert wird. Darüber hinaus ist es wichtig, die Mitarbeiter nicht außen vor zu lassen. Ist die Entscheidung für den Einsatz von Cloud Computing gefallen, müssen sie von Anfang an mit ins Boot geholt werden. Nur so erhalten neue Services auch die dringend notwendige Anwenderakzeptanz.

ITM: Wie können Unternehmen die einmal in die Cloud gegebenen Systeme bzw. Applikationen wieder in einen herkömmlichen Eigenbetrieb zurückholen? Oder ist die Entscheidung zugunsten einer Cloud per se eine Einbahnstraße?
Vogel:
Technisch gesehen ist Cloud Computing keine Einbahnstraße, jeder Service kann wieder auf das alte System zurückgestellt werden. Wichtig ist, dass Unternehmen diesen Punkt bereits bei Vertragsabschluss klären. Die Migration aus der Cloud muss Bestandteil des Leistungsversprechens sein, ebenso wie das mögliche Ausstiegszenario. Daher ist bei der Anbieterauswahl höchste Sorgfalt geboten.

ITM: Wie aufwendig ist die Migration von einem zum anderen Cloud-Service-Partner? Wie kann dies ohne Ausfallszeiten für den Kunden realisiert werden bzw. welche weiteren Hürden sind denkbar?
Vogel:
Es gibt heute kaum Erfahrung, wie sich ein Wechsel zwischen zwei Cloud-Anbietern gestaltet. Denkbar sind alle Varianten, angefangen von einem automatisierten Wechsel – sozusagen per Knopfdruck – bei hoch standardisierten Services wie E-Mail-Dienste, bis hin zu einem aufwendigen und großen Migrationsprojekt. Je komplexer der Service, desto komplizierter die Migration. Doch sind die Cloud-Services sauber aufgesetzt, stellt eine Migration aus technischer Sicht kein Problem dar.

ITM: Wie kann man vollkommen sicher gehen, dass ein Cloud-Service-Provider nach Vertragsschluss auch wirklich alle Daten des Anwenderunternehmens löscht? Und dies auch noch sicher sowie datenschutz-/rechtskonform?
Vogel:
Der Vertrag muss die entsprechenden Bestimmungen enthalten, d.h. der Anbieter muss sich dazu verpflichten, alle Daten herauszugeben und zu löschen. Sollte ein standardisierter Vertrag diese Verpflichtungserklärung nicht enthalten, müssen Unternehmen individuelle Regelungen treffen – oder zur Not einen anderen Anbieter wählen. Aus technischer Sicht gibt es natürlich keine vollkommene Sicherheit, da Unternehmen nicht überprüfen können, ob sich der Anbieter an die Zusage hält. Hinsichtlich des Datenschutzes müssen sich deutsche Anbieter an deutsche Gesetze halten.

ITM: In bestimmten Branchen müssen Anwenderunternehmen ein Auditing ihrer eingesetzten IT-Lösungen vornehmen lassen (z.B. in der Pharma- oder Lebensmittelindustrie) – wie wird bei diesen Audits der Umgang mit Cloud-Lösungen derzeit gehandhabt?
Vogel:
Unternehmen sollten sich folgende Frage stellen: Sollen IT-Dienste, die einer Auditierungspflicht unterliegen, überhaupt in die Cloud? Meist handelt es sich dabei um sehr komplexe und sensible Dienste, die kaum standardisierbar sind. Möglich ist der Schritt in die Wolke dann nur über individuelle Cloud-Angebote, Standardservices kommen nicht in Frage. Der Anbieter muss sich zudem vertraglich verpflichten, die Audits und die dabei eingesetzten Methoden zu unterstützen.

ITM: Wie sieht es in der Praxis aus: Welche Probleme können bei der Auditierung von Cloud-Lösungen auftreten?
Vogel:
Eine Auditierung im klassischen Sinne ist im Cloud-Umfeld nicht machbar. Das Problem besteht darin, dass Unternehmen keinen Zugriff auf die Daten des Anbieters haben. In der Regel wollen Auditoren zum Beispiel Dokumentationen sehen sowie Zugriffsrechteverwaltung und Betriebsaufgaben prüfen – und das liegt alles beim Provider.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok